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(57) Abstract 

Disclosed is a method for operating an automation 
system, whereby the automation system has at least one 
input unit to receive process signals, at least one ouQ)ut 
unit controlling an external peripheral device and both 
units^ are connected to each other for communicadon 
purposes by means of a bus. The inventive method 
is characterised in that at least one of the input units 
and at least one of the output units are embodied as 
a troubleproof input unit (EE) or a troubleproof output 
unit (AE). The inventive method is also characterised in 
that the troubleproof input unit (EE) transfers a telegram 
to the troubleproof ou^ut unit (AE) at given moments 
in time and that the telegram (T) contains at least one 
item of useful information, one destination point code 
(TT) designating the addressed output unit (AE) and 
one origin code (TS) designating the transmitting input 
unit (EE). The invention is further characterized in that 
the ou^ut unit (AE) evaluates continual reception of the 
telegram (T) as an indication of an intact conununication 
relation and shifts the connected peripheral device into 
a safe state. 
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(57) Zusammenfossung 

Es wird ein Verfahren zum Betrjeb eines Automatisierungssystems angegebcn, wobei das Automatisierungssystem mindestens eine 
Eingabecinheil zur Aufnahme von ProzeBsignalen und mindestens eine Ausgabeeinheil zum Ansteueren cxtemer Peripherie aufweist, 
die kommunikativ liber einen Bus miteinander verbunden sind, wobei sich das Verfahren dadurch auszeichnet, daB zumindest eine der 
Eingabeeinheiten und zumindest eine der Ausgabeeinheiten als fehlersichere Eingabeeinheit (EE) bzw. fehlersicherc Ausgabeeinhcit (AE) 
ausgebildet sind, und da8 die fehlersichere Eingabeeinheit (EE) der fehlersicheren Ausgabeeinhcit (AE) zu vorgegebenen Zeitpunkten ein 
Telegramm (T) ttbemiittelt, und da6 das Telegramm (T) zumindest eine Nutzinformation (TN), eine die adrcssiertc Ausgabeeinheit (AE) 
bezeichnende Zielkennung (TT) und eine die sendcnde Eingabeeinheit (EE) bezeichnende Ursprungskcnnung (TS) aufweist, und daB die 
Ausgabeeinheit (AE) den kontinuieriichen Empfang des Telcgramms (T) als Indiz fttr eine intakte Kommunikationsbeziehung auswertet und 
andemfalls die angeschlossene Peripherie in einen sicheren Zustand ttberfQhrt. 
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Beschreibung 

. Fehlersichere Prozefieingabe und Prozeliausgabe 

5 Die vorliegende Erfindung betrifft ein Verfahren zum Betrieb 
eines Automat isierungssystemS/ wobei das Automatisierungssy- 
stem mindestens eine Eingabeeinheit zur Aufnahme von ProzeB- 
signalen und mindestens. eine Ausgabeeinheit zum Ansteuern ex- 
terner Peripherie aufweist, wobei die Eingabeeinheit und die 
10 Ausgabeeinheit kommunikativ uber einen Bus miteinander ver- 
bunden sind. 

Urn bei Automatisierungsvorhaben, die von einem gattungsgema- 
Ben Automatisierungssystem gesteuert und/oder uberwacht wer-- 
15 den, in Notsituationen ein schnelles Abschalten der automati- 
sierten Prozesse oder einzelner Vorgangen zur erreichen, ist 
bisher eine Not-Aus-Behandlung in Form einer Not-Aus-Kette 
vorgesehen. 

20 In eine derartige Not-Aus-Kette warden Not-Aus-Schalter, 

Lichtgitter, Tretmatten oder Ahnliches integriert. Aufgrund 
der an eine Not-Aus-Behandlung zu stellenden Anforderungen 
ist es ublich, die Not-Aus-Behandlung in herkommlicher Ver- 
drahtung auszufuhren. Als Beispiel sei hier ein Tunnelofen 

25 genannt, der bezuglich des Automatisierungsprozesses in meh- 
rere Segmente unterteilt ist. An fur den Benutzer zugangli- 
■ Chen Positionen an der Aulienseite des Tunnelofens sind fiir 
die Not-Aus-Behandlung z.B. Not-Aus-Taster vorgesehen, wobei 
die Betatigung eines Not-Aus-Tasters je nach Auslegung der 

30 automat isierten Gesamtanlage, z.B. das definierte Herunter- 
fahren des gesamten Prozesses nach sich zieht. 

Die Not-Aus-Taster sind Feldgerate mit einer Eingabefunktion . 
Die Gerate, die das Herunterf ahren des Prozesses bewirken, 
35 sind entsprechend Gerate mit einer Ausgabefunktion zur An- 
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steuerung externer Peripherie, z.B. also Ausgabegerate, die 
einen Motor fUr Transportprozesse, einen Motor fUr Ventilati- 
on, ein Hydraulikaggregat zur Positionierung o.a, steuern. 

5 Im Falle einer Not-Aus-Situation ist das unmittelbare Ab- 
schalten der externen Peripherie erforderlich. 2u diesem 
Zweck ist zwischen den Eingabegeraten, also den Not-Aus- 
Tastern, und den Ausgabegeraten, wie den Motoren oder den Ag- 
gregaten, eine N6t-Aus-Kette aufgebaut, die bisher in konven- 

10 tioneller Verdrahtung auszufuhren war und die beim Betatigen 
eines Not-Aus-Tasters ein unmittelbares Abschalten des Motors 
bzw. ein unmittelbares Abschalten des Hydraulikaggregates be- 
wirkt. Die konventionelle Verdrahtung ist dabei bisher auf- 
grund der Sicherheitsanforderungen, die an eine Not-Aus- 

15 Behandlung zu stellen sind, erforderlich. 

Dabei ist es jedoch nachteilig, bei grolif lachigen Automati- 
sierungsprojekten wie z.B. bei den beschriebenen TunnelSfen, 
die konventionelle Verdrahtung im gesamten ProzelJfeld vorzu- 
20 sehen. 

Der Erfindung liegt daher die Aufgabe zugrunde, ein Verfahren 
zum Betrieb eines Automatisierungssystems anzugeben, bei dem 
zur Behandlung von Not-Aus-Situationen auf die konventionelle 
25 Verdrahtung verzichtet werden kann und statt dessen eine kom- 
munikative Verbindung zwischen den Komponenten der Not-Aus- 
Kette Uber den Bus des Automatisierungssystems besteht. 

ErfindungsgemaB ist daher vorgesehen, fur die Not-Aus- 
30 Behandlung auf die konventionelle Verdrahtung zu verzichten 
und samtliche Feldgerate, d.h. also auch die Not-Aus-Taster 
und die in die Not-Aus-Kette einzubindenden Motoren oder Ag- 
gregate, Uber den Prozelibus kommunikativ zu verbinden. 
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Diese Aufgabe wird fUr ein Verfahren zum Betfieb eines Auto- 
mat isierungssys terns, wobei das Automatisierungssystem minde- 
stens eine Eingabeeinheit zur Aufnahme von Prozeflsignalen und 
mindestens eine Ausgabeeinheit zum Ansteuern externer Peri- 
5 pherie aufweist, wobei die mindestens eine Eingabeeinheit und 
die mindestens eine Ausgabeeinheit koramunikativ uber einen 
Bus miteinander verbunden sind, dadurch gelost, daB zumindest 
eine der Eingabeeinheiten und zumindest eine der Ausgabeein- 
heiten als fehlersichere Eingabeeinheit bzw. fehlersichere 

10 Ausgabeeinheit ausgebildet sind, dafi die fehlersichere Einga- 
beeinheit der fehlersicheren Ausgabeeinheit zu vorgegebenen 
Zeitpunkten ein Datum. Ubermittelt, daJi das Datum zumindest 
ein Nutzinformation, eine die adressierte Ausgabeeinheit be- 
zeichnende Zielkennung und eine die sendende Eingabeeinheit 

15 bezeichnende Ursprungskennung aufweist, dali die Ausgabeein- 
heit den kontinuierlichen Empfang des Datums als Indiz ftir 
eine intakte Kommunikationsbeziehung auswertet und andern- 
falls die angeschlossene Peripherie in einen sicheren Zustand 
liberfahrt . 

20 

Die an eine Not-Aus-Behandlung zu stellenden Sicherheitsan- 
forderungen werden gemali der Erfindung erfullt, wenn die Ein- 
gabegerate, also z.B. die Not-Aus-Taster und die in die Not- 
Aus-Kette einzubindenden Ausgabegerate, die zur Ansteuerung 
25 der Motoren oder Aggregate vorgesehen sind, jeweils fehlersi- 
cher ausgefuhrt sind. Im Falle einer Not-Aus-Situation ergibt 
sich dann in der automatisierten Anlage folgender Ablauf : 

Beim Betatigen eines Not-Aus-Tasters wird durch das Datenein- 
30 gabegerat ein Datum auf den Bus gelegt. Das zu ubermittelnde 
Datum weist gemali den Spezif ikationen des fur die physikali- 
sche Kommunikationsverbindung verwendeten Busprotokolls zu- 
mindest ein Nutzinformation/ in diesem Falle also die Infor- 
mation, ob der Not-Aus-Taster gedruckt ist oder nicht, zumin- 
35 dest eine Zieladresse, also die Adresse des Kommunikation- 
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steilnehmers, an die die Nachricht gesendet wird - wobei eine 
spezielle Kennung ein Versenden der Nachricht an alle Kommu- 
nikationsteilnehitier ermSglicht - sowie schliefilich die Ur-' 
sprungs kennung, die den Absender des Datums identifiziert, 
auf . 

Die Erfindung kann nun einmal so eingesetzt werden, daJi das 
Datum an einen ganz bestimmten Kommunikationsteilnehmer ver- 
sendet wird, wobei der Adressat anhand der im Datum enthalte- 
nen Zieladresse erkennt, daii das Datum far ihn bestimmt ist, 
Oder daB das Datum an alle Kommunikationteilnehmer versendet 
wird/ wobei jeder einzelne Kommunikationsteilnehmer anhand 
der Ursprungsadresse des Datums ermittelt, ob das Datum, also 
die Nutzinformation des Datums von ihm auszuwerten ist. 

Andererseits kann das Datum auch an eine ubergeordnete Ein- 
heit des Automatisierungssystems, z.B, die Zentraleinheit ei- 
ner speicherprogrammierbaren Steuerung, versendet werden, wo- 
bei diese wiederum an der Ursprungs kennung des Datums er- 
kennt, dali eine Nachricht, z.B. von einem Not-Aus-Taster ein- 
getroffen ist, die einer unmittelbaren Behandlung bedarf, so 
dafi die Zentraleinheit unmittelbar nach Detektion des Datums 
dieses an die Ausgabegerate weiterleitet, so daB diese ein 
Herunterfahren bzw. Abschalten der an die Ausgabegerate ange- 
schlossenen Motoren oder Aggregate auslbsen bzw. selbst ein 
weiteres Datum an die Ausgabegerate absetzen, das zum glei- 
chen Resultat fuhrt. 

Die Ausgabeeinheit wertet dabei den kontinuierlichen Empfang 
des Datums von der Eingabeeinheit ais Indiz fur eine intakte 
Koramunikationsbeziehung. FUr den Fall, daB die Ausgabeeinheit 
das Ausbleiben eines Datums von einer Eingabeeinheit wahrend 
einer Zeitspanne, die groBer als eine vorgebbare Zeitspanne 
ist, feststellt, uberfUhrt die Ausgabeeinheit die angeschlos- 
sene Peripherie in einem sicheren Zustand und sorgt damit 
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wieder fUr das Herunterfahren der angeschlossenen Motoren 
Oder Aggregate, 

Zum Einsatz im Rahman des erfindungsgemaJien Verfahrens zuiti 
5 Betrieb eines Automatisierungssystems ist ferner ein- fehler- 
sicheres DateneingabegerSt mit mindestens einem Eihgabekanal 
zuiti Anschlufi peripherer Sensorik vorgesehen, fUr das eine 
Prdfschaltung vorgesehen ist, die zu vorgegebenen Zeiten ei^ 
nen Prufvorgang auslost und dabei fUr mindestens einen der 

10 Eingabekanaie des fehlersicheren EingabegerStes einen Status- 
wechsel bewirkt, wobei eine interne Logik den Statuswechsel 
uberwacht und ggfs. eine Fehlermeldung ausgibt, wobei der 
durch die Pruf schaltung bewirkte Statuswechsel am Ende des 
Prufvorgangs wieder rUckgangig gemacht wird und wobei der 

15 Prufvorgang fUr das Auslesen des betroffenen Eingabekanals 
vollkommen tran- 
sparent ist. 

FUr den Einsatz im Rahmen des erfindungsgemalien Verfahrens 
20 zum Betrieb eines Automatisierungssystems ist ferner oder al- 
ternativ ein fehlersicheres Dateneingabegerat mit mindestens 
einem Eingabekanal zum Anschluli peripherer Sensorik vorgese- 
hen, bei dem der mindestens eine Eingabekanal antivalent aus- 
gelegt ist. 

25 

Die gemafi der obenstehenden Beschreibung ausgefuhrten fehler- 
sicheren Eingabegerate werden durch die genannten Malinahmen, 
d.h. durch die antivalente Auslegung des Eingabekanals bzw. 
durch die ttberwachung des Eingabekanals mittels einer Pruf- 
30 schaltung zu fehlersicheren Dateneingabegeraten, wobei die 
beiden MaBnahmen auch kombinierbar sind, 

Zum Einsatz im Rahmen des erfindungsgemalien Verfahrens zum 
Betrieb eines Automatisierungssystems ist ferner eine fehler- 
35 sicheres Ausgabegerat ausgebildete Ausgabeeinheit vorgesehen. 
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Wenn fUr das fehlersichere Datenausgabegerat eine Verarbei- 
tungseinheit zur Verarbeitung benutzer-projektierbarer logi- 
scher VerknUpfungen vorgesehen ist, wobei die Verarbeitungs- 
einheit das Nut z info mat ion eines empfangenen Datums auswer- 
5 tet, das Nutzinformation der benutzerprojektierbaren logi- 
schen Verkniipfung unterwirft und entsprechend dem Ergebnis 
der logischen Verknupfung den mindestens einen Ausgabekanal 
ansteuert, sind Softwarekomponenten, die bisher iiblicherweise 
in einem ubergeordneten Automat isierungsgerSt, z.B. der Zen- 
10 traleinheit einer speicherprogrammierbaren Steuerung, vorge- 
sehen waren, auch in das fehlersichere Ausgabegerat verlager- 
bar, so daii hier eine besonders schnelle und effektive Verar- 
beitung und Auswertung der logischen VerknUpfungen moglich 
ist, 

15 

Wenn fur das fehlersichere Datenausgabegerat die Verarbei- 
tungseinheit ferner oder alternativ die zeitliche Abfolge der 
mit dem Nutzinformation Ubermittelten ProzeBdaten Qberwacht, 
und dem mindestens Ausgabekanal nur dann ansteuert, wenn die 

20 zeitliche Abfolge der zur Ansteuerung des Ausgabekanals er- 
forderlichen Daten innerhalb vorgebbarer Toleranzen liegt, 
ist ein sog. Muting moglich, das zur Erhohung der Sicherheit 
des automatisierten Prozesses beitragt. Als Beispiel sei die 
Absicherung einer Fahrbuhne mittels eines induktiven End- 

25 schalters und einer Lichtschranke genannt. Die Fahrbuhne lost 
bei ihrer Bewegung sowohl den induktiven Endschalter als auch 
die Lichtschranke in einer gewissen, durch die Geschwindig- 
keit der Fahrbuhne bestimmten zeitlichen Abfolge aus. 

30 Wenn die zeitliche Abfolge des Eingangs der zugehorigen Si- 
gnale innerhalb der vorgebenen Toleranzen liegt, kann die 
Verarbeitung fortgesetzt werden. Eine Person dagegen lost nur 
die Lichtschranke aus, wahrend das zusatzliche Signal des in- 
duktiven Endschalters wahrend der vorgegebenen Toleranzzeit 

35 ausbleibt. Eine solche Konstellation ist als Alarmkonstella- 
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tion auswertbar, auf die mit einer Not-Aus-Behandlung rea- 
giert we r den kann. 



Wenn fUr das fehlersichere DatenausgabegerSt eine als 
5 watchdog ausgebildete und die Verarbeitungseinheit iiberwa- 
chende t)berwachungsschaltung vorgesehen ist, welche den min- 
destens einen Ausgabekanal in einen sicheren Zustand Uber- 
fahrt, sobald eine Fehlfunktion der Verarbeitungseinheit 
festgestellt ist, ist liber die als watchdog ausgebildete 

10 Oberwachungsschaltung ein zweiter Abschaltweg etabliert. Wenn 
z.B. die Verarbeitungseinheit nicht mehr in der Lage ist, ei- 
nen speziellen Ausgang abzuschalten, wUrde ohne die ttberwa- 
chungsschaltung ein Motor oder ein Aggregat z.B. permanent 
aktiviert bleiben. Die als watchdog ausgebildete Uberwa- 

15 chungsschaltung erkennt derartige Zustande und schaltet beim 
Erkennen eines solchen Zustands die Ausg^nge in einen siche- 
ren Zustand. 



Wenn bei dem fehlersicheren Datenausgabegerat, der durch die 
20 Verarbeitungseinheit ansteuerbare Ausgabekanal als rucklesba- 
rer Ausgabekanal ausgebildet ist, das dem Ausgabekanal zu- 
fUhrbare Signal auch der Uberwachungsschaltung zufUhrbar ist, 
die Uberwachungsschaltung das ihr zugefiihrte und das vom Aus- 
gabekanal zuruckgelesene Signal vergleicht und bei Abweichun- 
25 gen den betroffenen Ausgabekanal oder auch samtliche Ausgabe- 
kanale bzw. die daran angeschlossene Peripherie in einen si- 
cheren Zustand uberfuhrt, werden Diskrepanzen der Ansteuerung 
der jeweiligen Ausgabekanale erkannt und diese unmittelbar in 
einen sicheren Zustand UberfUhrt. 

30 

Weitere Merkmale, Vorteile und Anwendungsmdglichkeiten der 
vorliegenden Erfindung ergeben sich aus den Unteranspruchen 
der nachfolgenden Beschreibung von Ausfuhrungsbeispielen an- 
hand der Zeichnung und der Zeichnung selbst. Dabei bilden al- 
35 le beschriebenen und/oder bildlich dargestellten Merkmale fur 
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sich Oder in beliebiger Kombination den Gegenstand der vor- 
liegenden Erfindung, unabhangig von ihrer Zusammenfassung in 
den PatentansprUchen oder deren RUckbeziehung. Dabei zeigen: 

FIG 1 ein vereinfachtes Blockschaltbild eines Automati- 
sierungssystem, 

FIG 2 ein Blockschaltbild eines fehlersicheren Datenein- 
gabegerates und 

FIG 3 ein Blockschaltbild eines fehlersicheren Datenaus 
gabegerates. 

In FIG 1 ist exemplarisch ein Blockschaltbild eines einfachen 
Automatisierungssystemes mit einem fehlersicheren Dateneinga- 
begerat 2, einem fehlersicheren Datenausgabegerat 3, und ei- 
nem Ubergeordneten Automatisierungsgerat 1, z.B. der Zen- 
traleinheit 1 einer speicherprogrammierbaren Steuerung darge- 
stellt. Die Gerate sind Uber einen Bus 4, vorzugsweise Uber 
einen zum Einsatz in Industrieumgebungen geeigneten Bus 4, 
insbesondere den Profibus 4, kommunikativ miteinander verbun- 
den. 



An das fehlersichere Dateneingabegerat 2 ist ein Not-Aus- 
Taster 1' angeschlossen. An das fehlersichere Datenausgabege- 
rat 3 ist ein Motor 2' angeschlossen. Wenn der Not-Aus-Taster 
1' betatigt wird, nimmt das Dateneingabegerat 2 dieses Signal 
auf , ubermittelt es Uber den Bus 4 an das Datenausgabegerat 
3, der daraufhin das Abschalten des Motors 2' bewirkt. 

In FIG 2 ein Blockschaltbild ist einer ersten Ausgestaltung 
eines fehlersicheren Dateneingabegerates 2 dargestellt . Das 
fehlersichere Dateneingabegerat 2 ist Uber den Bus 4 kommuni- 
kativ mit anderen an den Bus 4 angeschlossenen Geraten i, 2, 
3, verbunden, dabei ist die Busanschaltung durch ein Bus- 
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ASICs 5 bewirkt. Die Funktionen des Datenausgabegerates 3 
werden durch eine Verarbeitungseinheit 6, die z.B. ein ASIC 
Oder einen Mikroprozessor ist, bewirkt. Der Verarbeitungsein- 
heit 6 werden direkt Oder indirekt die Eingangskanaie 7-0, 7- 
5 1. . .7-7 zugefUhrt- 

Ferner ist im Dateneingabegerat 2 eine PrUf schaltung 8 vorge- 
sehen, die gleichfalls durch die Verarbeitungseinheit 6 kon- 
trolliert wird und zu vorgegebenen Zeitpunkten einen Prtifvor- 

10 gang auslost und dabei ftir mindestens einen der Eingabekanale 
7-0, 7-1,.. 7-7 des f ehlersicheren Dateneingabegerats 2 einen 
Statuswechsel bewirkt. Dieser Statuswechsel wird von einer 
internen Logik 9 uberwacht, wobei die interne Logik 9 eine 
Fehlermeldung ausgibt, wenn der von der Pruf schaltung 8 aus- 

15 geloste Statuswechsel sich nicht auf den Status des jeweili- 
gen Eingangskanal 7-0, 7-1... 7-7 auswirkt. Am Ende des PrUf- 
vorgangs wird der durch die PrUf schaltung 8 bewirkte Status- 
wechsel wieder ruckgangig gemacht. Fur das Auslesen der be- 
troffenen Eingabekanale 7-0, 7-1... 7-7 wahrend des normalen 

20 Betriebs des f ehlersicheren Dateneingabegerats 2 ist der 
Prufvorgang dabei vollkommen transparent. 

Wenn die Eingange 7-0, 7-1... 7-7 der Verarbeitungseinheit 6 
zusatzlich auch in negierter Form 7-0', 7-1'... 7-7' zuge- 

25 fUhrt werden, sind die Eingangskanale antivalent ausgelegt. 
Die Verarbeitungseinheit 6 liest dann fur den betreffenden 
Eingangskanal, z.B. 7-2 dessen Status, z.B. logisch 0, und 
fiir den antivalent en korrespondierenden Eingang 7-2' als ne- 
gierten Status das entsprechende Komplement, in diesem Falle 

30 also logisch 1. Fehlfunktionen bei der Weiterleitung der Sta- 
ti der jeweiligen Eingangskanale konnen durch die Verarbei- 
tungseinheit 6 dann einfach und sicher erkannt werden, indem 
jeweils UberprUft wird, ob auf dem jeweiligen Eingangskanal 
und auf dem dazu antivalenten Eingangskanal komplementare 

35 Stati vorliegen. 
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In FIG 3 ist ein Blockschaltbild eines fehlersicheren Daten- 
ausgabegerates 3 dargestellt, das mittels eines als Busan- 
schaltung 14 ausgebildeten Bus-ASICs 14 an den ProzeJibus 4 . 
angeschlossen ist. Das fehlersichere Datenausgabegerat 3 
5 weist eine Verarbeitungseinheit 10 zur Verarbeitung benutzer- 
projektierbarer logischer VerknUpfungen auf, wobei die Verar- 
beitungseinheit 10 das Nutzinformation TN eines Uber den Pro- 
zefibus 4 empfangenen Telegramms auswertet, das Nutzinformati- 
on TN der benutzerprojektierbaren logischen VerknUpfung un- 
10 terwirft, und entsprechend dem Ergebnis der logischen Ver- 
knUpfung den mindestens einen Ausgabekanal 11-0, 11-1... 11-7 
ansteuert. 

In der Darstellung gemSlB FIG 3 weist das fehlersichere Daten- 
15 ausgabegerat 3 eine als watchdog 12 ausgebildete/ und die 

Verarbeitungseinheit 10 Uberwachende tJberwachungsschaltung 12 
auf, welche den mindestens einen Ausgabekanal 11-0, 
11-1... 11-7 in einen sicheren Zustand iiberfuhrt, sobald eine 
Fehlfunktion der Verarbeitungseinheit 10 festgestellt ist. Zu ' 
20 diesem Zweck Uberwacht die tJberwachungsschaltung 12 die Funk- 
tion der Verarbeitungseinheit 10, wobei im Falle einer Fehl- 
funktion der Verarbeitungseinheit 10 die Stati der jeweiligen 
Ausgabekanale 11-0, 11-1... 11-7 durch die tJberwachungsschal- 
tung 12 bestimmt werden, wozu eine Treiberschaltung 13 vorge- 
25 sehen ist, die sowohl von der Verarbeitungseinheit 10 als 
auch von der tJberwachungsschaltung 12 ansteuerbar ist. 

Fur den Fall einer Fehlfunktion der Verarbeitungseinheit 10, 
uberschreibt die durch die tJberwachungsschaltung 12 ausgege- 
30 bene Ansteuerung der jeweiligen Ausgabekanale 11-0, 

11-1... 11-7 die jeweilige Ansteuerung der Verarbeitungsein- 
heit 10, die zu diesem Zeitpunkt bereits als fehlerhaft er- 
kannt wurde , 
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In der Darstellung gemaS FIG 3 ist das fehlersichere Daten- 
ausgabegerat 3 ferner derartig ausgebildet, daB der durch die 
Verarbeitungseinheit ansteuerbare Ausgabekanal 11-0, 
11-1... 11-7 als rUcklesbarer Ausgabekanal 11-0', 11-1'... 
5 11-7' ausgebildet ist, dali das dem Ausgabekanal 11-0, ■ 

11-1. ..11-7 zufUhrbare Signal auch der Oberwachungsschaltung 
12 zufahrbar ist, dali die Oberwachungsschaltung 12 das ihr 
zugefUhrte und das vom Ausgabekanal zuriickgelesene Signal 
11-0', 11-1' .. .11-7' vergleicht und bei Abweichungen den be- 
10 troffenen Ausgabekanal 11-0, 11-1... 11-7 in einen sicheren 
Zustand UberfUhrt. 

In der vorstehenden Beschreibung wird stets von Eingabe- bzw. 
Ausgabegeraten 2, 3 mit jeweils acht Eingabe- bzw. Ausgabeka- 
15 nalen ausgegangen. Selbstverstandlich kann die Anzahl der Ka- 
naie auch groBer Oder kleiner als acht, z.B. 16 oder 32, 
sein. 
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PatentansprUche 

1. Verfahren zum Betrieb eines Automat isierungssyst ems, 

- wobei das Automatisierungs system mindestens eine Eingabe- 

5 einheit zur Aufnahme von Prozelisignalen und mindestens eine 
Ausgabeeinheit zum Ansteuern externer Peripherie aufweist, 
die kommunikativ- Uber einen Bus miteinander verbunden sind, 
dadurch gekennzeichnet, 

- dali zumindest eine der Eingabeeinheiten und zumindest eine 
10 der Ausgabeeinheit en als fehlersichere Eingabeeinheit (EE) 

bzw. fehlersichere Ausgabeeinheit (AE) ausgebildet sind, 

- daB die fehlersichere Eingabeeinheit (EE) der fehlersiche- 
ren Ausgabeeinheit (AE) zu vorgegebenen Zeitpunkten ein Te- 
legramm (T) ubermittelt, 

15 - daB das Telegramm (T) zumindest ein Nutzinformation (TN), 

eine die adressierte Ausgabeeinheit (AE) bezeichnende Ziel- 
kennung (TT) und eine die sendende Eingabeeinheit (EE) be- 
zeichnende Ursprungskennung (TS) aufweist, 

- dali die Ausgabeeinheit (AE) den kontinuierlichen Empfang 
20 des Telegramms (T) als Indiz fur eine intakte Kommunikati- 

onsbeziehung auswertet und andernfalls die angeschlossene 
Peripherie in einen sicheren Zustand Uberfahrt. 

2. Fehlersicheres Dateneingabegerat mit mindestens einem Ein- 
25 gabekanal zum Anschluii peripherer Sensorik zur 2\nwendung in 

einem Verfahren zum Betrieb eines Automatisierungssystems 
nach Anspruch 1, dadurch gekennzeich- 
■net, dafl eine PrUf schaltung vorgesehen ist, die zu vor- 
gegebenen Zeitpunkten einen PrUfvorgang auslost und dabei fur 
30 mindestens einen der Eingabekanale des fehlersicheren Daten- 
eingabegerates einen Statuswechsel bewirkt, wobei eine inter- 
ne Logik den Statuswechsel Uberwacht und gegebenenf alls eine 
Fehlermeldung ausgibt, wobei der durch die Pruf schaltung be- 
wirkte Statuswechsel am Ende des PrUfvorgangs wieder ruckgan- 
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gig gemacht wird und wobei der Prilfvorgang far das Auslesen 
des betroffenen Eingabekanals vollkommen transprarent ist. 

3. Fehlersicheres Dateneingabegerat mit mindestens einem Ein- 
5 gabekanal zum AnschluB peripherer Sensorik zur Anwendung in 

einem Verfahren zum Betrieb eines Automatisierungssystems 
nach Anspruch l,dadurch gekennzeich- 
net, dafi der mindestens eine Eingabekanal antivalent 
ausgelegt ist. 

10 

4 . Fehlersicheres Datenausgabegerat mit mindestens einem Aus- 
gabekanal zum AnschluB peripherer Aktorik zur Anwendung in 
einem Verfahren zum Betrieb eines Automatisierungssystems 
nach Anspruch 1, dadurch gekennzeich- 

15 net, daJi eine Verarbeitungseinheit zur Verarbeitung be- 
nutzerprojektierbarer logischer Verknupfungen vorgesehen ist, 
wobei die Verarbeitungseinheit das Nutzinformation (TN) eines 
empfangenen Telegramms (T) auswertet, das Nutzinformation der 
benutzerprojektierbaren logischen VerknUpfung unterwirft und 

20 ensprechend dem Ergebnis der logischen VerknUpfung den minde- 
stens einen Ausgabekanal ansteuert. 

5. Fehlersicheres Datenausgabegerat nach Anspruch 4, d a - 
durch gekennzeichnet, dafi die Ver- 

25 arbeitungseinheit die zeitliche Abfolge der mit dem Nutzin- 
formation (TN) Ubermittelten ProzeJidaten uberwacht und den 
mindestens einen Ausgabekanal nur dann ansteuert, wenn die 
zeitliche Abfolge der zur Ansteuerung der Ausgabekanals er- 
forderlichen Daten innerhalb vorgegebener Toleranzen liegt. 

30 

6. Fehlersicheres Datenausgabegerat nach Anspruch 4 oder 5, 
dadurch gekennzeichnet, daB eine 
als Watchdog ausgebildete und die Verarbeitungseinheit iiber- 
wachende tJberwachungsschaltung vorgesehen ist, welche den 

35 mindestens einen Ausgabekanal in einen sicheren Zustand uber- 
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fUhrt, sobald eine Fehlfunktion der Verarbeitungseinheit 
festgestellt ist. 

7. Fehlersicheres DatenausgabegerSt nach Anspruch 6, d a - 
5 durch gekennzeichnet/ dafi der durch 

die Verarbeitungseinheit ansteuerbare Ausgabekanal als rUck- 
lesbarer Ausgabekanal ausgebildet ist, daB das dem Ausgabeka- 
nal zufUhrbare Signal auch der Uberwachungsschaltung zufuhr- 
bar ist, dafi die Oberwachungsschaltung das ihr zugefOhrte und 
10 das vom Ausgabekanal zuruckgelesene Signal vergleicht und bei 
Abweichungen den betroffenen Ausgabekanal Oder sSlmtliche Aus- 
gabekanale in einen sicheren Zustand aberfUhrt. 
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